1. Check Point Maestro超大规模网络安全性-一种新的可扩展安全性平台

Check Point很快就宣布了2019年的公告。 没有一篇文章可以讨论所有内容，因此让我们从最重要的内容开始-Check Point Maestro Hyperscale Network Security 。 Maestro是一个新的可扩展平台，使您可以将Security Gateway的“功能”增加到“不雅”的数量，并且几乎可以线性地增加。 通过平衡群集中作为单个实体工作的各个网关之间的负载，自然可以实现这一点。 有人可能会说：“ 是！已经有44000/64000刀片平台。 ” 但是，大师是完全不同的事情。 在本文的框架中，我将简要地尝试解释它的含义，它的工作方式以及该技术将如何帮助节省保护网络外围设备 。

是-它变成了

要了解新的可扩展平台与旧的44000/64000有何不同，最简单的方法是查看以下图片：



区别是显而易见的。

旧的Check Point平台44000/64000

从上图可以看到，第一个选项是固定平台（机箱），您可以在其中插入有限数量的特殊“刀片模块”（ Check Point SGM ）。 所有这些都连接到安全交换模块 （SSM），以平衡网关之间的流量。 下图详细说明了该平台的组件：



如果您确切知道现在需要什么性能以及在什么限制范围内可以增长，那么这是一个很好的平台。 但是，由于固定的外形尺寸（12或6个刀片），您将来的扩展受到限制。 此外，您不得不使用SGM刀片，而无法连接阵容更广泛的常规饰面。 随着Maestro Hyperscale Network Security的出现，情况发生了巨大变化。

新的Check Point Maestro超大规模网络安全平台

Check Point Maestro于1月22日在曼谷的CPX首次推出。 主要特征可以在下图中看到：



如您所见，Check Point Maestro的主要优势是可以使用常规设备网关进行平衡。 即 我们不再局限于SGM刀片。 您可以在5600型号（不支持SMB型号和机箱44000/64000）开始的任何设备之间分配负载。 上图显示了使用新平台可以实现的主要指标。 我们可以在一个计算资源中组合多达31个！ 网关 。 现在，您的“防火墙”可能看起来像这样：

大师超大型编排

我敢肯定，很多人已经有了一个问题：“ 这是什么样的乐队？ “好吧，结识。 Maestro Hyperscale Orchestrator-这件事负责负载平衡。 Gaia R80.20 SP的操作系统已安装在此设备上。 当前，Orchestrators有两种模型-MHO-140和MHO-170 。 下图的特点：



乍一看，这似乎是正常的切换。 实际上，这是一个“交换机+平衡器+资源管理系统”。 都在一个盒子里。
网关连接到这些协调器。 如果平衡器采用容错设计，则每个网关都将连接到每个乐团。 要进行连接，可以使用“光学”（sfp + / qsfp + / qsfp28 +）或DAC电缆（直接连接铜缆）。 同时，协调器之间自然应该有一个同步链接：



在下面的图片中，您可以看到这些协调器的端口如何分布：

安全组

为了在网关之间分配负载，这些网关必须位于同一安全组中。 安全组是充当活动/活动群集的设备的逻辑组。 该组独立于其他安全组运行。 从管理服务器的角度来看，安全组看起来就像一台具有一个IP地址的设备。
从管理的角度来看，如有必要，我们可以将一个或多个网关放入一个单独的安全组中，并将此组用于其他目的，作为单独的防火墙。 下图显示了使用示例：



一个重要的限制是 ，在同一安全组中，只能使用相同的网关（模型）。 即 如果要线性增加安全网关（由多个设备组成的群集）的功能，则必须添加完全相同的网关。 在下一个软件版本中，此限制应消失。

在下面的视频中，您可以看到创建安全组的过程。 该过程很直观。



同样，如果将Maestro的组件与机箱平台进行比较，则会得到以下“过去”的画面：

新平台有什么好处？

实际上，无论从技术角度还是从经济角度来看，都有很多优点。 我将简要介绍最重要的内容：

1. 实际上，我们在扩展方面是不受限制的。 一个安全组内最多31个网关。
2. 我们可以根据需要添加网关。 购买时的最低限额是一个乐队+两个网关。 无需为增长奠定基础。
3. 上一段还有另一个优点。 我们不再需要更改已不再应付负载的网关。 以前，此问题是通过以旧换新程序解决的-他们交出了旧硬件，并以折扣价获得了新硬件。 采用这种方案，必然会造成财务“损失”。 新的缩放过程消除了此因素。 您无需交出任何东西，只需借助其他“硬件”就可以继续提高生产率。
4. 能够合并现有资源以实现负载平衡。 例如，您可以根据负载将所有群集“拖放”到Maestro平台上并组装几个安全组。

Maestro超大规模网络安全软件包

当前，有几种选择可用于通过Maestro平台获取所谓的捆绑软件。 基于23800、6800和6500网关的解决方案：



在这种情况下，可以从两种标准配置类型中进行选择：

1. 一个乐团和两个网关；
2. 一个乐团和三个网关。

在这里您可以看到估计的价格。 自然，您可以另外放置另一个乐团和任意数量的网关。 可以在此处索取有关规格的更多信息。
6500和6800是今年早些时候也推出的最新型号。 但是我们将在下一篇文章中更详细地讨论它们。

我什么时候可以买？

没有一个答案。 目前，尚无关于将这些决定汇入我国的通知。 有关日期的信息一出现，我们将立即在公众中发布公告（ vk ， telegram ， facebook ）。 此外，计划在不久的将来举行有关Check Point Maestro解决方案的网络研讨会，届时将考虑所有技术功能。 当然，您可以提出感兴趣的问题。 敬请期待！

结论

当然，新的Maestro Hyperscale Network Security平台是Check Point硬件解决方案的绝佳补充。 实际上，该产品开辟了一个新的细分市场，并非每个供应商的信息安全解决方案都具有类似的解决方案。 此外，如今，在提供如此空前的“安全能力”方面，Check Point Maestro几乎没有其他选择。 但是，Maestro Hyperscale Network Security不仅对于数据中心的所有者而且对于普通公司都将是有趣的。 对于拥有或打算购买5600型号设备的用户，您已经可以“近距离了解” Maestro了，在某些情况下，从经济和技术的角度来看，使用Maestro Hyperscale Network Security都是非常有利可图的解决方案。

PS本文是在可扩展平台专家Check Point Software Technologies的Anatoly Masover的协助下编写的。